この章では、Oracle Access ManagerをOracle Identity Navigatorと統合する方法について説明します。
この章に記載されている手順に従うと、Webゲート・エージェントを使用してOracle Access ManagerでOracle Identity Navigatorを保護できます。
この手順では、Oracle Access Managerによって設定されたサブジェクトをアサートするために、Oracle Internet Directoryオーセンティケータを使用してOracle WebLogic Serverを有効化します。
注意: これは、URLを保護するために使用されるOracle Access Managerの特定の例です。記述されている内容はこのタイプの構成に一般的な方法ですが、ここで使用されているものと完全に同じ手順およびコンポーネントを使用しなくてもかまいません。たとえば、Oracle Internet Directoryは、Oracle Access Manager 11gに対して動作保証されているいくつかのアイデンティティ・ストアの1つです。 |
注意: リリース11.1.1.5.0では、Oracle Identity Navigatorはドメイン・エージェントによってそのまますぐに保護されます。以前のリリースでは、これとは異なり、URLを保護するために手動構成が必要でした。 |
この章の内容は次のとおりです。
Oracle Access Managerでは、Kerberos認証スキームをチャレンジ・メソッドのWindowsネイティブ認証(WNA)とともに使用して、Oracle Identity Navigator管理コンソールのSSOを有効化できます。
前提条件を次に示します。
Oracle HTTP Serverがインストールされています。
Oracle HTTP Serverのインストール時に、「Oracle Web Cache」および「選択されたコンポーネントとWebLogicドメインの関連付け」の選択を解除します。
Oracle Access Manager 11gが適切にインストールされ、構成されています。
Oracle HTTP Server 11gがOracle Identity NavigatorのフロントエンドのプロキシWebサーバーとしてインストールされ、構成されています。
Oracle HTTP Server 11g用のOracle Access Manager 11g WebゲートがOracle HTTP Server 11g上にインストールされています。
関連項目: リストされているコンポーネントのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。次の項では、特に具体的な内容が説明されています。
|
SSO有効化の大まかな手順は次のとおりです。
Oracle Access Manager管理コンソールを使用して、Oracle Identity NavigatorのURLを保護するエージェント用に新しいリソースを構成します。
構成済のリソースおよびポリシーを持つOracle Access Managerドメインを指すように、Oracle HTTP Serverを構成します。
管理コンソールを使用して、2つの新しいアイデンティティ・プロバイダ、つまりOracle Access Manager Identity AsserterおよびOracle Internet Directory Authenticatorを追加します。
Oracle Directory Services Manager (ODSM)を使用して、ログイン・ユーザーに管理者権限を付与します。
これらの手順は、後続のサブセクションで詳しく説明します。
Oracle Access Managerコンソールで、次の手順を実行します。
「ポリシー構成」タブを選択します。
「アプリケーション・ドメイン」で、Oracle Identity NavigatorのURLを保護するエージェントを選択します(たとえば、-OIMDomain)。
「リソース」を選択し、作成アイコンをクリックして新しいリソースを追加します。タイプ、ホスト識別子および値(/oinav/…/*)を入力し、「適用」ボタンをクリックします。
保護付きポリシー、または認証スキーマがLDAPスキーマであるポリシーを選択します。リソース表で追加アイコンをクリックし、ドロップダウン・リストからOracle Identity NavigatorのURL(/oinav/…/*)を選択します。
認可ポリシーについて、手順を繰り返します。
これらの手順に従って、リソースおよびポリシーが構成されているOracle Access ManagerドメインをOracle HTTP Serverが指すようにします。
Oracle HTTP Serverのサーバー構成ディレクトリ(たとえば、/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/config/OHS/ohs1
)にナビゲートし、mod_wl_ohs.conf
ファイルを見つけます。
<IfModule mod_weblogic.c>
ブロックで、保護するOracle Identity Navigator URLのホストおよびポート番号を追加します。次に例を示します。
MatchExpression /oinav* WebLogicHost=host WebLogicPort=port
OHSインストールのbin
ディレクトリ(たとえば、/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/bin
)で、次のコマンドを実行することによってOracle HTTP Serverサーバーを再起動します。
-./opmnctl restartproc ias=component=ohs1
これらの手順に従って、2つの新しいアイデンティティ・プロバイダを追加し、ログイン・ユーザーに管理者権限を付与します。
管理コンソールを使用して、「セキュリティ・レルム」→「myreleam」→「プロバイダ」にナビゲートします。
OAM Identity AsserterとOID Authenticatorの2つのプロバイダを追加します。
OAM Identity Asserterの「制御フラグ」をRequired
に設定します。
OID Authenticatorで次の設定を更新します。
「制御フラグ」をSufficient
に設定します。
「プロバイダ固有」タブを選択し、必要な変更を加えてOracle Internet Directoryサーバーのホスト、ポートおよびその他の資格証明を指定します。OID Authenticatorで正しいLDAP設定を構成します。
LDAPのユーザーおよびグループがコンソールに反映されます。
Oracle Directory Services Manager (ODSM)を使用して、ログイン・ユーザーに管理者権限を付与します。
Oracle Access Managerに関連付けられたLDAPサーバー内にユーザーを作成します(たとえば、uid=testuser,cn=users,dc=us,dc=oracle,dc=com
)。
LDAPディレクトリ内に管理者グループを作成します(つまり、cn=Administrators,cn=groups,dc=us,dc=oracle,dc=com
)。
ユーザーtestuser
を管理者グループに追加することによって、このユーザーに管理者ロールを割り当てます。
これで、このユーザーによるOracle Identity NavigatorへのSSOをテストできるようになりました。
次のようにプロバイダの順番を変更します。
OAMIdentityAsserter
オーセンティケータ
デフォルト・オーセンティケータ
デフォルトIDアサーション・プロバイダ
Oracle WebLogic Serverを再起動します。
Oracle HTTP Serverインストールのホストおよびポートを含む、保護されたOracle Identity Navigator URLを入力します。
http://OHSHost:OHSPort/oinav/faces/idmNag.jspx